Nginx文件解析漏洞:
该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞。
由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,对于任意文件名,在后面添加/xxx.php(xxx)为任意字符后,即可将文件作为php解析。
环境配置链接:GitHub - vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose
第一步,我们要先把环境配置好,将以上链接内容放到linux环境中并将其解压出来,然后进入vulhub-master/nginx/nginx_parsing_vulnerability文件夹下,操作如下:
此时我们访问 http://192.168.74.140/uploadfiles/nginx.png
网页正常访问:
可以看到增加/.php
后缀,图片被解析成PHP文件:
当访问uploadfiles/nginx.png/666.php时,nginx将查看url,看到它以.php结尾,将路径传给PHP fastcgi进行处理。但是fastcgi在处理’xxx.php’文件时发现文件并不存在,这时php.ini配置文件中cgi.fix_pathinfo=1 发挥作用,这项配置默认开启,值为1,用于修复路径,如果当前路径不存在则采用上层路径。为此这里交由fastcgi处理的文件就变成了/nginx.png。新版本的php的配置文件php-fpm.conf引入了“security.limit_extensions”,限制了可执行文件的后缀,默认只允许执行.php文件。
打开文件可以看到没有规则
root@dxl-virtual-machine:~/vulhub-master/nginx/nginx_parsing_vulnerability/php-fpm# vim www-2.conf
修复方法
1、 将php.ini文件中的cgi.fix_pathinfo的值设置为0
2、 www-2.conf中的security.limit_extensions后面的值设置为.php